I denne veiledningen ser vi nærmere hvordan man kan gå fram for å øve på håndtering av IKT-hendelser.
Innledning
Hensikten med å øve på håndtering av IKT hendelser er å forbedre informasjonssikkerheten. Øvelser kan gjennomføres på ulike måter, med ulikt ressursbehov. De mest brukte formene for øvelser er:
- Skrivebordsøvelser (Table top)
- Simulerings-assisterte øvelser (Computer assisted exercises)
- Fullskala øvelser
Planlegging
For å øke troverdigheten av og relevansen til en øvelse, bør virksomhetens risikovurderinger og et relevant trusselbilde legges til grunn for planleggingsarbeidet. Et resultat av planleggingsarbeidet kan være forslag til forbedring av risikovurderingene. I forbindelse med planlegging bør det etableres en øvingsgruppe, med ansvar for å tilrettelegge, gjennomføre og evaluere øvelsen. Følgende forhold bør avklares som del av planleggingen;
- Fastsette øvingsmål: Hvorfor gjennomføres øvelsen og hva skal den bidra til. Her kan de ulike gruppene som skal øves med fordel fremme innspill til øvingsmål slik at øvelsen blir relevant for de.
- Beslutte primær målgruppe for øvelsen: Hvem er det som primært skal øves og hvem skal støtte opp rundt for å gi målgruppen grunnlag for å høste relevante efaringer. For mange primære målgrupper kan før til at øvelsen blir veldig kompleks. Normalt vil flere en den primære målgruppen få godt utbytte av slike øvelser.
- Utvikle scenario: En dreiebok som viser hvilke hendelser som skal inngå i øvelsen og hvordan de skal spilles inn overfor målgruppene er et nyttig virkemiddel for å sikre fokus på øvingsmålene og flyt i gjennomføringen. Arbeidet bør ta utgangspunkt i en oppdatert trusselvurdering og virksomhetens egen risikovurdering.
- Administrativ tilrettelegging: Praktiske administrative forhold bør avklares for å sikre at øvelsen forstyrrer normal drift så lite som mulig, og at øvingsdeltagerne uforstyrret kan bruke tiden sin på øvelsen. Ikke bare tid og sted, men også ansvarsforhold, økonomi, innkvartering, bespisning og hvem som skal ivareta daglig drift bør avklares som del av planleggingen.
Øvingsgruppen utarbeider deretter en øvingsplan som godkjennes av virksomhetens leder, innkalling til øvelsen, scenario og dreiebok, oppstart brief med en realistisk beskrivelse av den operative situasjonen ved oppstart av øvelsen, loggføringsrutiner og bestemmelser om evaluering.
Gjennomføring
Øvelsen innledes med en oppstart brief, hvor deltagerne orienteres om situasjonen som har oppstått. Medieklipp, uttalelser fra ledelsen og trusselvurderinger bør vektlegges. Det gjelder her å skape realisme og innlevelse i at dette kunne vært en virkelig situasjon.
Ansvarsforhold og organisering som under normal drift og beskrevet i virksomhetens sikkerhetsrutiner bør følges under gjennomføringen av øvelsen. Øv personellet i de roller de har under avviks- og krisehåndtering. Aller helst bør dette være de samme rollene som de har under daglig drift, med klare ansvarsforhold.
Øvingsgruppen spiller inn situasjoner, i form av hendelser og meldinger til de ulike gruppene. Gruppene foretar deretter sine vurderinger, samarbeider og iverksetter tiltak i henhold til de ansvarsforhold, retningslinjer og prosedyrer som er gitt i virksomheten. Hele tiden er det viktig at øvingsgruppen holder seg godt orientert om framdrift og hvordan gruppene løser sine oppgaver. Ved behov bør øvingsgruppen senke eller øke tempo i øvelsen og gi nye momenter slik at øvingsmålene kan nås.
Øvelser er en mulighet til å bygge relasjoner og binde egen virksomhet sammen. Avslutt gjerne øvelsen med en felles sammenkomst.
Evaluering
En godt gjennomført øvelse gir mulighet for individuell refleksjon, teamutvikling og ikke minst organisasjonslæring. Erfaringer som kan nyttiggjøres til å forbedre organisasjonen bør håndteres adskilt fra den enkelte medarbeiders oppfatning av egen innsats. Gode måter å høste erfaringer fra en øvelse på er loggføring, umiddelbar gjennomgang (hot wash up) og evaluering av øvelsen (after action review).
Loggføring: gjennomføres under selve øvelsen ved at deltagerne skriver ned opplevelser de mener er viktig å ta med inn i evalueringsarbeidet.
Umiddelbar gjennomgang: gjennomføres som en kort samling ved avslutning av øvelsen. Hver av gruppene som har deltatt legger fram en 5-10 minutters presentasjon av hvordan de løste øvingsmomentene, redegjør for utfordringer og beskriver umiddelbare erfaringer. Diskusjoner bør unngås i forbindelse med gjennomgangen men utsettes til evalueringen.
Evaluering gjennomføres 1 til 2 uker etter selve øvelsen og ledes som en strukturert gjennomgang med referat. Gruppene som har deltatt gis i forkant tid til å formulere sine innspill. Evalueringen innledes med at øvingsledelsen gjennomgår scenariet og øvingsmomentene i kronologisk rekkefølge. Innspillene fra gruppene bør fokuseres rundt erfaringer som sier noe om; ansvarsforhold, situasjonsforståelse, varsling og kommunikasjon, samarbeid. Deretter bør selve tilretteleggingen av øvelsen evalueres, herunder; hvor godt scenariet gav gruppene mulighet til å lære, tid og organisering for å gjennomføre spillmomentene og administrativ tilrettelegging. Øvingsledelsen sammenfatter erfaringene og anbefaler konkrete utbedringstiltak overfor virksomhetens ledelse.
Kilder til videre arbeid
Direktoratet for forvaltning og IKT har utarbeidet en veileder spesielt med tanke på alle som har ansvar for informasjonssikkerhet i offentlig sektor.
Veilederen forutsetter ingen forkunnskaper eller erfaring i å planlegge og gjennomføre øvelser.
Veileder fra Direktoratet for forvaltning og IKT